2019-10-14 19:31 (월)
[탐지를 넘어 직접적인 대응으로, EDR-①] 왜 엔드포인트 위협탐지대응(EDR) 솔루션인가
상태바
[탐지를 넘어 직접적인 대응으로, EDR-①] 왜 엔드포인트 위협탐지대응(EDR) 솔루션인가
  • 길민권 기자
  • 승인 2019.10.07 16:40
이 기사를 공유합니다

왜 모두가 EDR을 외치는가?...EDR은 왜 필요한가?

◇사후처리 방식의 안티바이러스 솔루션

안티바이러스 솔루션은 바이러스 패턴을 분석하여 진단한다. 이후 바이러스 엔진에 업데이트하여 다른 PC의 감염, 확산을 막는 사후처리 방식을 사용한다. 그래서 최초의 바이러스, 악성코드를 사전에 차단하는 것은 불가능했다. 우선 감염된 후에 패턴을 파악하고 엔진에 업데이트를 해서 확산을 막는 것이 주된 방식이었다.

또한 분석에는 오랜 시간이 소요됐다. 수천, 수만 대 PC가 감염되고 난 다음에야 대응책이 나오는 경우도 있었다. 랜섬웨어는 PC 한 대 감염으로 사내 네트워크 내 파일을 모두 암호화해 사내 업무환경을 초토화시켜 버린다. 사후 대응방식인 안티바이러스 솔루션으로는 재빠르게 대응할 수 없다.

그리고 최근에는 난독화 기법 등 기존 악성코드를 살짝 변형시킨 변종을 만드는 것이 쉬워지면서 1년에 수백만 개의 변종바이러스가 생성되고 있다. 변종이라 하더라도 모든 패턴을 일일이 업데이트해야만 차단할 수 있다. 분석에 많은 인력이 투입될 수밖에 없다.

모 안티바이러스 솔루션 업체 부사장의 입에서 “안티 바이러스는 죽었다(Antivirus is dead)”라는 말이 나오는 이유다.

◇샌드박스 분석 기법을 이용해 악성코드 여부를 판단하는 APT 대응 솔루션

안티바이러스 솔루션의 기술적 한계를 극복하기 위해 나온 것이 ‘지능형 지속공격(APT) 대응 솔루션’이다. APT 대응 솔루션은 파일이 실행될 때의 행위를 통해 악성코드 여부를 판단한다. 파일이 실행되거나 웹사이트에 접속했을 때 새로운 프로세스를 생성하거나 레지스트리 변경을 시도하거나, 파일 다운로드 행위를 한다면 악성코드일 가능성이 높다고 판단하여 차단한다.

이 악성행위를 사전에 파악하기 위해 APT는 중앙집중적 샌드박스를 이용한다. 가상 PC환경을 만들어 테스트하는 것이다. 샌드박스는 한 대의 APT장비에서 수백 개를 생성할 수 있다. 그래서 보안담당자는 한 곳에서 회사전체의 네트워크 트래픽을 대상으로 악성행위 분석을 시도할 수 있다.

문제는 최근 유포되고 있는 악성코드는 가상환경 여부를 체크하는 기능을 갖추고 있다는 것이다. 샌드박스 환경임을 인식할 경우 악성코드는 활동을 중지한다. 따라서 APT 대응 솔루션의 샌드박스 접근방식은 현재시점에서 장점을 잃어가는 중이다.

또한 대부분 샌드박스는 회사로 들어오는 네트워크 트래픽을 분석해야 하기 때문에 1분 이내로 분석을 마치게 된다. 이 점을 악용, 악성행위를 5분 이후에 시작하는 악성코드도 발견되었기에 안심할 수가 없다.

◇실제 엔드포인트 단에서 발생하는 위협행위를 파악, 신속하고 빠르게 대응하는 EDR

이러한 배경에서 악성코드 활동이 실제로 일어나는 엔드포인트 단에서 행위 정보를 수집, 악성코드를 분석하는 방법이 새로운 대안으로 제시되었다. 바로 EDR(Endpoint Detection & Response)이다.

EDR은 행위기반으로 악성코드를 탐지 및 대응하는 솔루션이다. 그렇기에 안티바이러스 솔루션과는 차별화된다. 엔드포인트 단에서 실제 정보를 수집하기 때문에 APT 솔루션과도 차별성을 가지고 있다.

◇왜 모두가 EDR을 외치는가?...EDR은 왜 필요한가?

EDR은 조직 내 엔드포인트 단에서 발생하는 위협행위를 탐지하고 대응하는 솔루션이다. 이를 통해 EDR을 도입한 기업/기관은 안티바이러스 솔루션이 실시간으로 대응하지 못하는 제로데이 공격으로부터 기업/기관을 보호할 수 있게 되었다.

물론 EDR 솔루션만으로 모든 보안 인프라를 일거에 대처할 수 있다고 단언하기에는 아직은 시기상조이다. 안티바이러스, APT 대응 솔루션 역시 여전히 필요한 존재다. 안티바이러스 솔루션은 항상 그래왔듯이 악성코드, 바이러스 차단에 있어 기초적인 역할을 해야 한다.

◇EDR 작동 원리

EDR은 엔드포인트(PC, 서버 등) 단에서 프로세스 생성, 레지스트리 변경, 인터넷접속, 파일 다운로드 등의 다양한 정보를 수집한다. 수집된 정보는 사내에서 운영되고 있는 EDR 서버로 전송된다. EDR서버는 엔드포인트에서 수집된 정보를 분석한다. 이 곳에서 악성 프로세스 여부를 판단하게 된다.

만일 악성코드로 판명된 정보가 있다면 해당 프로세스 행위 패턴을 EDR 엔진에 업데이트 한다. 업데이트된 정보는 사내 모든 EDR 에이전트에 배포된다.

패턴이 업데이트 되었으므로 EDR에이전트는 동일한 행위를 보이는 프로세스가 있으면 바로 차단한다. 더 이상 전파되지 못하도록 막는 것이다.

EDR서버는 사내정보만 업데이트하지 않는다. 외부 클라우드에 있는 EDR 서버와 연동하여 꾸준하게 정보를 업데이트 한다. 따라서 다른 기관에서 발견된 케이스를 즉각적으로 반영하는 동시에, 우리기관에서 발견된 케이스 역시 실시간으로 업데이트해 EDR이 적용된 모든 기업/기관의 악성코드, 랜섬웨어, 바이러스 감염 및 확산을 막는다.

엔드포인트 단에서 행위를 기반으로 한 실시간 수집, 자동화된 분석체계, 실시간 전파체계를 통해 EDR은 효과적인 악성코드, 바이러스, 랜섬웨어 대응을 수행할 수 있다.

-[탐지를 넘어 직접적인 대응으로, EDR] 2편에서 계속…

[글. 최일훈 소만사 부사장]

[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★